STP故障01-STP端口问题

如上图所示，模拟某云小部分场景：
1、 图中上面红框表示Internet（用CE1的loopback1模拟），下面红框表示客户设备（用CE1交换机loopback2模拟）；
2、 在CE1交换机中存在两个VRF（test1及test2），test1用于对接Internet及将流量引入防火墙，test2用于对接客户设备及防火墙控制后的流量（即trust区域流量）；
3、 防火墙使用GE1/0/1建立HRP关系，使用三层子接口（GE1/0/0.10、GE1/0/0.20）对接交换机，具体ip地址如图中所示（所有网段均采用一个C段）；

配置信息如下：

1、 防火墙配置：
sysname FW01
#
hrp enable
hrp interface GigabitEthernet1/0/1 remote 1.1.1.3
hrp standby config enable
#
interface GigabitEthernet1/0/0.10
vlan-type dot1q 10
description To_CE1_test1
ip address 10.10.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.10.1.1 active
service-manage ping permit
service-manage ssh permit
#
interface GigabitEthernet1/0/0.20
vlan-type dot1q 20
description To_CE1_test2
ip address 10.11.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.11.1.1 active
service-manage ping permit
service-manage ssh permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.1 active
service-manage ping permit
service-manage ssh permit
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0.20
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0.10
#
firewall zone name hrp id 4
set priority 95
add interface GigabitEthernet1/0/1
#
security-policy
default action permit
#
ip route-static 10.9.1.0 255.255.255.0 10.10.1.4 description CE1_VRF-test1
ip route-static 10.12.1.0 255.255.255.0 10.11.1.4 description CE1_VRF-test2
防火墙FW-02与FW-01配置类似

2、 交换机配置：
sysname CE1
#
vlan batch 10 20
#
ip -instance test1
ipv4-family
route-distinguisher 10:1
#
ip -instance test2
ipv4-family
route-distinguisher 20:1
#
interface Vlanif10
description To_FW_untrust
ip binding -instance test1
ip address 10.10.1.4 255.255.255.0
#
interface Vlanif20
description To_FW_trust
ip binding -instance test2
ip address 10.11.1.4 255.255.255.0
#
interface GE1/0/0
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface GE1/0/1
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#
interface LoopBack1
description Internet
ip binding -instance test1
ip address 10.9.1.1 255.255.255.0
#
interface LoopBack2
description client
ip binding -instance test2
ip address 10.12.1.1 255.255.255.0
#
ip route-static -instance test1 10.12.1.0 255.255.255.0 10.10.1.1 description FW-untrust
ip route-static -instance test2 10.9.1.0 255.255.255.0 10.11.1.1 description FW-trunst

现在我们来做个场景模拟，Internet访问客户侧业务 或者 客户侧访问Internet业务，在客户正在访问的情况下，刚好我们要操作防火墙，会导致防火墙主备切换，那是否会对客户产生影响？如果有，影响有多大？

1、带着这个问题，选择Internet侧长ping客户侧设备，然后我们切换防火墙，看是否会掉包；

2、我们可以发现掉了两个包，我们只断了防火墙连接交换机的端口，HRP互连端口并没有关闭，那为什么会掉包，难道是因为会话没有同步？

3、可以发现，还是掉了两个包，这明显不是防火墙会话原因；数据转发一定离不开ARP及MAC表，我们可以观察下防火墙上的ARP表项，看是否是防火墙ARP表问题；

通过查看ARP表发现，防火墙连接交换机端口UP后，是经过了1~2秒才学到了交换机10.10.1.4的ARP信息，所以掉包应该是这个原因导致。

延伸：
在上面第1步测试中，用真机CE设备测试，应该是掉5个包；这是为什么呢？
在CE交换机中，针对STP是有优化的，具体优化如下：
端口使能生成树协议后，会默认启动边缘端口的自动探测功能，当端口在（2 x Hello Timer +1）秒时间内收不到BPDU报文，自动将端口设置为边缘端口；如果在接口视图下配置了stp edged-port enable 或 stp edged-port disable、或者在系统视图下配置stp edged-port default，边缘端口自动探测功能就不生效了。

我们可以看CE1交换机的GE1/0/0端口信息：

可以看到，CE1交换机的GE1/0/0端口显示边缘端口以开启，但实际上我们在端口下并未配置边缘端口，这就是CE交换机边缘端口的自动探测功能导致的，在经过5S后，GE1/0/0端口还未收到BPDU报文，就认为对端可能是PC，可以将该端口设置为边缘端口，避免了STP/mstp端口的慢收敛。

原文地址：http://blog.51cto.com/9480916/2334852